Bir tehdit aktörü, çevrimiçi hesapları ele geçirmek ve potansiyel olarak bu hesaplardan para çekmek için birden fazla özelliği olan tehlikeli bir Android Truva Atı ile dünya çapında 450 bankanın müşterilerini ve kripto para birimi hizmetlerini hedefliyor.
Sözde “Nexus” Android Truva Atı’nın yazarları, kötü amaçlı yazılımı, yeni duyurulan bir hizmet olarak kötü amaçlı yazılım (MaaS) programı aracılığıyla diğer tehdit aktörlerinin kullanımına sundu. kendi saldırıları.
İtalyan siber güvenlik firması Cleafy’deki araştırmacılar Nexus’u ilk olarak Haziran 2022’de fark ettiler, ancak o sırada bunun “Sova” olarak izledikleri başka bir Android bankacılık Truva Atı’nın hızla gelişen bir çeşidi olduğunu değerlendirdiler. Kötü amaçlı yazılım, birkaç Sova kodu parçası içeriyordu ve o sırada 200’den fazla mobil bankacılık, kripto para birimi ve diğer finansal uygulamaları hedefleme yeteneklerine sahipti. Cleafy araştırmacıları, Sova varyantının Amazon, Chrome, NFT ve diğer güvenilir uygulamalar olduğunu öne süren logolarla sahte uygulamalarda gizlendiğini gözlemlediler.
Birçoğundan biri
Nexus, son birkaç ay içinde ortaya çıkan ve halihazırda yaygın olan çok sayıda benzer araca eklenen birkaç Android bankacılık truva atından biridir. Örneğin, bu ayın başlarında, Cyble araştırmacıları, GoatRAT adlı yeni Android kötü amaçlı yazılımının Brezilya’da yakın zamanda tanıtılan bir mobil otomatik ödeme sistemini hedef aldığını gözlemlediklerini bildirdi. Aralık 2022’de Cyble, “Godfather” olarak izlenen ve bir aradan sonra gelişmiş yeni karartma ve algılama önleme özellikleriyle yeniden ortaya çıkan başka bir Android bankacılık Truva Atı tespit etti. Siber araştırmacılar, kötü amaçlı yazılımın Google Play Store’da yasal kötü amaçlı yazılım kılığına girdiğini buldu. İki kötü amaçlı yazılım çeşidi, buzdağının ancak görünen kısmıdır. Bir Kaspersky analizi, 2022’de yaklaşık 200.000 yeni bankacılık Truva Atı’nın ortaya çıktığını ve 2021’e göre %100’lük bir artışı temsil ettiğini gösterdi.
Cleafy’nin tehdit istihbaratı ekibinin başkanı Federico Valentini, tehdit aktörlerinin Nexus’u Android cihazlarda nasıl sağladığının net olmadığını söylüyor. Valentini, “Araştırmamız esas olarak davranışını ve yeteneklerini analiz etmeye odaklandığından, Nexus’un ilk enfeksiyon vektörüyle ilgili belirli ayrıntılara erişimimiz yoktu” diyor. “Bununla birlikte, benzer kötü amaçlı yazılımlarla ilgili deneyim ve bilgilerimize dayanarak, bankacılık Truva atlarının smishing gibi sosyal mühendislik şemaları aracılığıyla iletilmesi yaygın bir durumdur” diyor, SMS metin mesajları yoluyla kimlik avına atıfta bulunarak.
Ocak 2023’te Cleafy araştırmacıları, artık daha gelişmiş olan kötü amaçlı yazılımın Nexus adı altında birden çok bilgisayar korsanlığı forumunda ortaya çıktığını fark etti. Kısa bir süre sonra, kötü amaçlı yazılım yazarları, kötü amaçlı yazılımı yeni MaaS programı aracılığıyla ayda nispeten 3.000 ABD Doları karşılığında diğer tehdit aktörlerinin kullanımına sunmaya başladı.
Hesap Devralma için Çoklu Özellikler
Cleafy’nin Nexus analizi, kötü amaçlı yazılımın hesapların ele geçirilmesini sağlamak için çeşitli özellikler içerdiğini gösterdi. Bunların arasında, kullanıcı kimlik bilgilerini çalmak için bindirme saldırıları gerçekleştirmek ve tuş vuruşlarını günlüğe kaydetmek için bir işlev vardır. Örneğin, bir hedef bankacılık veya kripto para birimi uygulamasının müşterisi, güvenliği ihlal edilmiş bir Android cihazı kullanarak hesabına erişmeye çalıştığında, Nexus tam olarak gerçek uygulamanın oturum açma sayfası gibi görünen ve çalışan bir sayfa sunar. Kötü amaçlı yazılım daha sonra, kurbanın oturum açma sayfasında girilen kimlik bilgilerini almak için keylogging özelliğini kullanır.
Birçok bankacılık Truva Atı gibi, Nexus da çevrimiçi hesaplara erişmek için iki faktörlü kimlik doğrulama kodlarını almak üzere SMS mesajlarını engelleyebilir. Cleafy, Nexus’un Android’in Erişilebilirlik Hizmetleri özelliğini kripto para cüzdanlarından, ilgili web sitelerinden çerezlerden ve Google’ın Authenticator uygulamasının iki faktörlü kodlarından tohum ve denge bilgileri çalmak için kötüye kullanabildiğini buldu.
Kötü amaçlı yazılım yazarları ayrıca Nexus’a, Cleafy’nin geçen yıl gözlemlediği ve başlangıçta bir Sova varyantı olduğunu varsaydığı sürümde bulunmayan yeni işlevler eklemiş görünüyor. Bunlardan biri, alınan SMS iki faktörlü kimlik doğrulama mesajlarını sessizce silen bir özellik, diğeri ise Google Authenticator 2FA kodlarını çalmak için modülü durdurma veya etkinleştirme işlevidir. En yeni Nexus varyantı ayrıca, komut ve kontrol sunucusunu (C2) güncellemeler için düzenli olarak kontrol etme ve mevcut olabilecekleri otomatik olarak yükleme işlevine sahiptir. Hâlâ geliştirilmekte olan bir modül, yazarların kötü amaçlı yazılıma bir şifreleme yeteneği uygulayabileceğini ve muhtemelen bir hesap devralma işlemini tamamladıktan sonra izlerini gizleyebileceğini gösteriyor.
Devam eden bir çalışma?
Valentini, Cleafy’nin araştırmasının Nexus’un potansiyel olarak yüzlerce sistemi tehlikeye attığını öne sürdüğünü söylüyor. “Özellikle kayda değer olan şey, kurbanların belirli bir coğrafi bölgede yoğunlaşmış gibi görünmemesi, küresel olarak iyi bir şekilde dağılmış olmalarıdır.”
Kötü amaçlı yazılımın çevrimiçi finansal hesapları ele geçirmeye yönelik birçok işlevine rağmen, Cleafy’nin araştırmacıları Nexus’un hala devam eden bir çalışma olduğunu değerlendirdi. Güvenlik satıcısına göre bir gösterge, hata ayıklama dizelerinin varlığı ve kötü amaçlı yazılımın belirli modüllerinde kullanım referanslarının olmamasıdır. Cleafy, başka bir avantajın da, yazarların hala kötü amaçlı yazılımın gerçekleştirdiği tüm eylemleri izleme ve raporlama sürecinde olduğunu gösteren koddaki nispeten yüksek sayıda günlüğe kaydetme mesajı olduğunu söyledi.
Özellikle, mevcut avatarındaki kötü amaçlı yazılımın, saldırgana Nexus bulaşmış bir cihazın tam uzaktan kontrolünü ele geçirmesini sağlayacak bir Sanal Ağ Bilgi İşlem veya VNC modülü içermemesi dikkat çekicidir. “VNC modülü, tehdit aktörlerinin cihaz üzerinde dolandırıcılık yapmasına izin veriyor; bu, para transferleri kurbanların her gün kullandığı aynı cihazdan başlatıldığı için en tehlikeli dolandırıcılık türlerinden biri.”